Můžeme mít důvěru v cloudové služby ? Zdeněk Jiříček National Technology Officer Microsoft Česká republika
1
Poslední trendy mění přístup k bezpečnosti
2
Slyšíme kolem sebe otázky... Proč bych měl důvěřovat Microsoftu? Jaké bezpečnostní audity a certifikace má cloudová infrastruktura Microsoftu? Jestli dám určité aplikace do cloudu, budu schopen vyhovět regulatorním požadavkům?
Jak bychom měli ve firmě hodnotit cloudové dodavatele z hlediska bezpečnosti, ochrany soukromí, a souladu s legislativou? 3
Základ důvěry POSTAVENO NA NAŠÍ ZKUŠENOSTI A INOVACI Trustworthy Computing Initiative
1st Microsoft Data Center Active Directory
Windows Update Microsoft Security Response Center
Microsoft Azure
Global Data Center Services
UK G-Cloud Level 2
Malware Protection Center
SOC 2 SOC 1
Security Development Lifecycle
FedRAMP/ FISMA
Digital Crimes Unit
20+ Data Centers
Operations Security Assurance
CSA Cloud E.U. Data Controls Matrix Protection ISO/IEC Directive HIPAA/ 27001:2005 HITECH
PCI DSS Level 1
Stavba cloudových služeb Microsoftu Software as a Service (SaaS)
Služby pro firemní zákazníky
Služby pro spotřebitele
Hostingové služby partnerů
Platform as a Service (PaaS)
Infrastructure as a Service (IaaS)
Microsoft Global Foundation Services
Datacenters
Operations
Global Network
Security
5
Sdílená bezpečnost
SNÍŽENÉ NÁKLADY NA BEZPEČNOST + UDRŽENÍ FLEXIBILITY, PŘÍSTUPU & ŘÍZENÍ On-Premises
Microsoft Azure
IaaS
PaaS
Zákazník
SaaS
Cloud Services Provider
Škálovatelnost a redundance zdrojů Každé datové centrum > 1 mld. USD investice, celkově >1 mil. serverů
Quincy Cheyenne
Dublin
Chicago
Amsterdam
Boydton
Japan
Shanghai
Des Moines
Hong Kong
San Antonio
Singapore Brazil
Zajištění dat: V každém datacentru 3 kopie dat Geografická replikace min. 600km daleko Zákazník volí místo uložení dat Zákazník konfiguruje úroveň replikace dat
Australia
Přístup Microsoftu prakticky
Microsoft Azure
8
Start
Release
„Defense in depth“: vrstvená obrana
FYZICKÁ VRSTVA
SÍŤ
SERVERY
APLIKACE
DATA
Identita a řízení přístupu Zabezpečené konfigurace, skenování zranitelností
Zvládání bezpečnostních incidentů 24 x 7 x 365 10
Perimeter Security
Fire Detection & Suppression
Multi-factor authentication
Extensive Monitoring
+ Odolnost proti výpadku energie v řádu dnů 11
http://aka.ms/OSA
Infrastrukturní ochrana 24 hodinové monitorování fyzické bezpečnosti
Bezpečné multi-tenantní prostředí Firewally Procedury pro záplatování System monitoring a logování událostí
Antivirus/antimalware ochrana Prevence a detekce možných průniků Forenzní procesy Microsoft Azure
13
Předpoklad průniku (Assume Breach) Detekce neobvyklých aktivit na serverech • Alerty na procesy mimo „white list“ • Alerty na změny konfigurací nebo změny registry
Analýza šablon útoků (např. APTs) • Analýza velkých dat – hledání neobvyklostí v provozních
War Game Exercises Monitor Emerging Threats
Red Teaming
záznamech
Nácviky zvládání incidentů • Simulace útoků a penetrační testy, včetně falešných
administrátorů s fyzickým přístupem • Nácviky zadržení průniku, vypuzení, MTTD, MTTR
Audit přístupů administrátorů v cloudu • Commandlets, Logins, zvýšená oprávnění, nové admin. účty
Izolace mezi různými foresty • V procesu zavádění
• Video: Office 365 Red-Blue teams wargaming
Invest in Reactive Security Needs
Insider Attack Simulation
Execute Post Breach
Blue Teaming
14
Prevence průniku - zásady Skenování portů Skenování zranitelností na perimetru
Neexistuje trvalý přístup na zákaznická data •
„Just in time“ elevations vydané nadřízeným na nezbytně dlouhou dobu Přístup na zákaz. data: pouze zaměstnanci s prověrkami
Procedura záplatování
•
Testování a prevence DoS / DDoS
Automatické zrušení účtu
2-faktorová autentizace
Izolace mezi prostředím emailu a admin funkcemi, segmentace vnitřní sítě
• • •
Při odchodu zaměstnance Při změně pozice Dlouhodobě bez aktivity
Logování / audit všech přístupů a aktivit adminů
15
Segmentace na vnitřní a vnější síť
Internal Network
External Network
Fyzické oddělení serverů/storage od externích rozhraní
Ochrana před DoD/DDoS: • Automatické škálování kapacity zdrojů (Azure) • Přiškrcování (Throttling)
• Lze vyžádat filtraci IP adres přes support ticket
Propojení přes Edge security router – monitoring a detekce průniků Email jen na vnější síti 16
Protokol SSL/TLS
Asymetr. šifra 2048 bit
Nově: Perfect Forward Secrecy
Perfect Forward Secrecy
Exchange online podporuje S/MIME, PGP
Bitlocker AES 256 ochrana proti krádeži a při likvidaci disků Chybné disky ničeny v datacentru (NIST 800-88)
Skype call: AES 256 Exchange Online na jiné email servery: TLS by default
Další zabezpečení dat v Office 365 Active Directory Rights Management Services (volitelné šifrování a zabezpečení obsahu)
Bezpečnostní riziko
Způsob řešení
Podvodný administrátor
RMS, BitLocker
Lze použít Windows Crypto Next Generation (CNG) – zapojení vlastních algoritmů pro šifrování a el. podpis
Ztráta citlivých dat
RMS; Exchange 2013 DLP Policies
Exchange Online Data Loss Prevention (DLP)
Ukradený/ztracený laptop
BitLocker
Ukradený/ztracený smartphone
BitLocker
•
Uživatel volí různé stupně zabezpečení
•
Azure AD RMS – lze i mimo vlastní organizaci
Office 365 Pro Plus: Crypto Plug-in •
• •
Vestavěná inteligence – zabraňuje uživateli odeslat emailem citlivé informace (včetně příloh a offline režimu) Nástroj uvědomění uživatelů, „citlivé informace“lze nastavit politikami
18
Exchange Komplexní ochrana •
• •
Multi-engine antimalware chrání proti 99-100% známých virů Trvale akutalizovaný anti-spam zachytí >98% příchozího spamu Pokročilé technologie analýzy malwaru - poznají a zastaví nový spam a phishing v reálném čase
Jednoduchost použití • •
Předkonfigurováno pro jednoduché nasazení Správa EOP integrovaná se správou Exchange online
Jemné možnosti nastavení • •
Např. označit všechny hromadné rozesílky jako spam Např. blokovat email podle jazyku nebo zemí původu 19
Integrace s Active Directory - Azure Active Directory
Strana zákazníka • • • •
Podpora 2-faktor. autentizace přes RSA nebo PhoneFactor Řízení přístupu „na jméno“ podle zařízení, lokality, IP adresy Řízení přístupu dle rolí (RBAC) - administrátoři AD Federace nebo DirSync
Strana Microsoftu • •
Řízení přístupu dle rolí (RBAC) Přístupová práva Just-in-Time, schvalovací workflow manažerem 20
Reakce na incident Zapojení vývojového a provozního týmu Zapojení bezpečnostního týmu
Incident detekován
Začátek incidentu
Potvrzení bezpečnostního incidentu
Ohodnocení incidentu
• Úplný proces v 9 krocích
Upozornění zákazníků Identifikace zasažených zákazníků
Definování dopadu na zákazníky
Reakce na zákaznické požadavky
Upozornění zákazníků
• Zaměřeno na rychlou identifikaci a obnovení • Upozornění je součástí smluvních závazků
Microsoft Azure
21
Ochrana soukromí
Ochrana soukromí již v návrhu Ochrana v návrhu Ochrana soukromí je nedílnou součástí návrhu a provozu Azure
Microsoft Azure
Omezený Smluvní přístup & užití závazky dat Data zákazníků jsou pouze použita k poskytnutí služby, nikdy k reklamním účelům
Data Processing Agreement, EU Model Clauses, HIPAA BAA
10101010101010101010101010101010
1010101010101010101010101010101010101010101010101010
V průběhu r. 2014 jsme posílili šifrování dat a zavedli technologii Perfect Forward Secrecy
Žádné reklamy • Žádné výstupy ze zákaznických dat pro reklamní účely • Žádné skenování emailů a dokumentů za účelem analytických rozborů
Přenositelnost dat • Zákaznická data v Office 365 jsou vlastnictvím zákazníka • Data lze vyexportovat do 90 dní po ukončení smlouvy; do 180 dní jsou smazána
Posílení právní ochrany zákazníků • Informování zákazníků v případě požadavku soudního příkazu na vydání dat • Využití všech legálních metod pro umožnění informování zákazníka prohlášení
Prohlášení o zásadách ochrany osobních údajů 24
25
26
§13 zák. 101/2000 Sb. Správce a Zpracovatel dat provedou: - Analýzu rizik, - Příslušná technická opatření, - Ošetří smluvní vztah Správce / Zpracovatel aby nedošlo ke zneužití osobních informací
ÚOOÚ: Využití cloud computingu pro zpracování osobních údajů je možné při splnění určitých podmínek...
§27 zák. 101/2000 Sb. Předání osobních údajů Zpracovateli do zahraničí. V případě použití „standardních smluvních doložek EU“ není třeba žádat úřad o povolení, viz web ÚOOÚ... kdy není třeba žádat o povolení (dole na stránce)
Za nejsilnější záruky ochrany se považuje „Smlouva o zpracování dat“ (Data Processing Agreement), se zahrnutím „Standardních smluvních doložek“ (EU Contractual Clauses) dle Rozhodnuní 2010/87/EC
Viz: www.uoou.cz, „Názory úřadu“, „Často kladené otázky“ link, dále Věstník ÚOOÚ částka 65 z 07/2013
27
http://ec.europa.eu/justice/data-protection/article-29/documentation/otherdocument/files/2014/20140402_microsoft.pdf
28
29
ISO/IEC 27018:2014 ISO 27018 - nový mezinárodní standard pro ochranu osobních informací v cloudu, založen na EU zákonech pro ochranu dat. Publikován 30. 7. 2014 Nutný explicitní souhlas uživatele pro užití jeho dat k marketingu nebo inzerci
V případě bezp. incidentů prověřit, zda nedošlo k únikualternativa osobních údajů Efektivní k Pokudzákaznickému ano, musí informovat auditu uživatele a regulátora
Poskytovatel nesmí odmítnout dát službu, i pokud mu uživatel tento souhlas nedá ISO 27018 auditní zpráva má být relevantní pro zákazníka a jeho regulatorní požadavky Musí informovat uživatele kde jsou jeho data, a jakým způsobem se zpracovávají Microsoft plánuje získat ISO 27018 certifikát v průběhu r. 2015
30
Soulad s regulatorními požadavky, certifikace
31
Soulad - struktura Standardy informační bezpečnosti
Audit efektivnosti bezpečnost. opatření
Certifikace pro průmyslová odvětví
ISO 27001
ISO 27001 SOC 1 Type II SOC 2 Type II
PCI DSS Level 1 UK G-Cloud HIPAA/HITECH CJIS
Microsoft Azure
Management System Information Security Management System - Governance
Plán auditů
Info Sec Mgmt FORUM (Governance)
PROGRAM řízení aktiv a jejich rizik (NIST 800-30)
Info Sec Policy PROGRAM (konfigurace, politiky)
Struktura souladu s legislativou
Testy a audity
• ISO / IEC 27001:2005 • SSAE 16/ISAE 3402 - SOC 1 • AT101 - SOC 2 and 3
• PCI DSS (Payment Card Industry) • FedRAMP P-ATO, FISMA akreditace • A další...
33
Microsoft cloud: domény pro ISO 27001:2005 Plus další požadavky dle NIST 800-53 a PCI-DSS (Payment Card Industry...)
Bezpečnostní opatření
1. (A.05) Bezpečnostní politika
8. (A.12) Akvizice, vývoj a údržba
2. (A.06) Organizace bezpečnosti informací
9. (A.13) Zvládání bezpečnostních incidentů
3. (A.07) Řízení aktiv
10. (A.14) Řízení obchodní kontinuity
4. (A.08) Bezpečnost lidských zdrojů
Řízení rizik
5. (A.09) Fyzická bezpečnost a vliv životního prostředí
11. (A.15) Soulad s regulatorními požadavky 12. Šifrování
6. (A.10) Řízení provozu
13. Bezpečnost komunikací
7. (A.11) Řízení přístupu
14. Řízení dodavatelů
34
Standard - certifikace
Office 365
Microsoft Dynamics CRM
Microsoft Azure
Windows Intune
GFS (Global Foundation Services – infrastruktura datových center)
ISO 27001:2005
Yes
Yes
Yes
Yes
Yes
EU Model Clauses (Standardní smluvní doložky Evropské unie, ověřen „soulad“)
Yes
Yes
Yes
Yes
Yes
EU Safe Harbor
Yes
Yes
Yes
Yes
Yes
PCI DSS (Payment Card Industry Data Security Standard)
N/A
N/A
Yes
N/A
Yes
SOC 1 Type 2 (Service Organization Controls - SSAE 16/ISAE 3402)
Yes
Yes
Yes
No, Type 1 only
Yes
SOC 2 Type 2 (AT Section 101)
Yes
No
Yes
No, Type 1 only
Yes
UK G-Cloud
Yes
Yes
Yes
No
N/A
FedRAMP (US) (Moderate)
Yes
No
Yes
No
Yes
FERPA (US – Education)
Yes
N/A
Yes
N/A
N/A
HIPPA/BAA (US - Healthcare)
Yes
Yes
Yes
Yes
Yes
IPv6
Yes
No
No
No
N/A
CJIS (US - Criminal Justice)
Yes
No
No
No
N/A
35
ISO 27001 – výroční „Assessment Report“
SOC 1 & 2: Service Organiz. Controls auditní zprávy
SOC 1 ... dříve audit SAS 70, od r. 2011 SSAE 16 / ISAE 3402 SOC 2 ... American Institute of CPA‘s TSP Section 100 (Trust Services Principles) http://en.wikipedia.org/wiki/Service_Organization_Controls
36
§5a odst. 1: „...požadavky na řízení bezpečnosti a kvality ISVS stanoví prováděcí právní předpis".
§5b: "Orgány veřejné správy uplatňují opatření odpovídající bezpečnostním požadavkům na zajištění důvěrnosti, integrity a dostupnosti informací zpracovávaných v ISVS". (Pozn.: odpovídá obsahu ISO 27001)
§10 - §12 Požadavky na strukturu provozní dokumentace; Odst. (2) Bezpečnostní dokumentaci ISVS tvoří
a) bezpečnostní politika informačního systému veřejné správy... vždy pokud orgán veřejné správy není provozovatelem tohoto systému, b) bezpečnostní směrnice pro činnost bezpečnostního správce systému.
• Soulad
Azure / Office 365 ISO 27001 a auditních zpráv 37
•
Soulad cestou standardizace – ISO 27001
38
§12 Podmínky pro outsourcing
Odst. (2): role regulátora (ČNB), auditovatelnost a kontrola činností Odst. (3): outsourcingová smlouva... umožnit kontrolovatelnost a vymahatelnost
• Soulad
39
Transparentnost
40
https://cloudsecurityalliance.org/ https://cloudsecurityalliance.org/star/#_registry
41
Třetím stranám neumožňujeme přístup k zákaznickým datům, pokud k tomu nejsme povinni na základě platné legislativy. • • •
• •
Každá žádost je individuálně posuzována (autorita žadatele, rozsah požadavku) MS se primárně snaží přesměrovat žádost přímo na zákazníka, pokud je to nutné, tak i s použitím právních kroků Pokud není možné požadavek přesměrovat, MS bude zákazníka o tomto požadavku informovat, s výjimkou případů, kdy to zákon explicitně zakazuje Cca 75% glob. požadavků uspokojí jen metadata (viz report) MS neposkytuje plošný přístup k datům – musí se jednat o účet konkrétního zákazníka pro konkrétní zákonný účel
Viz MOSA Data Processing Agreement se Stand. sml. doložkami EU
42
Za rok 2012, globálně: •
99,9+% požadavků na spotřebitelské služby (Hotmail, Skype, Xbox, atd.)
•
Pouze 11 (z 70.000+) požadavků se týkalo služeb podnikových zákazníků; 7 z nich MS odmítl nebo úspěšně přesměroval na zákazníka; 4 jsme poskytli se souhlasem zákazníka nebo na základě dohody se zákazníkem.
Za 1. pol. 2014, globálně:
•
Pouze 5 požadavků na konkrétní účty 5 osob podnikových zákazníků. Ve všech 5 případech buď odmítnut přístup, nebo přesměrováno na zákazníka.
•
Dosud nikdy nebyl žádán přístup na data podnikových zákazníků mimo území USA.
Viz dokument “Microsoft’s principles and practices for responding to government data requests”
43
Pravidelné pololetní reporty – za 1. pol. 2014: Na základě soudního příkazu nebo mezinárodního zatykače: • 34.494 požadavků z 69 zemí
75,13% vydána metadata 5,91% zamítnuto (nesplněny předpoklady) 16,34% nic nenalezeno 2,62% vydán zákaznický obsah
• 41 požadavků z České republiky
87,8% vydána metadata 4,9% zamítnuto (nesplněny předpoklady) 7,3% nic nenalezeno 0% vydán zákaznický obsah
Celý report: http://www.microsoft.com/about/corporatecitizenship/en-us/reporting/transparency/ 44
Přístupy dle příkazů národní bezpečnosti USA •
Foreign Intelligence Surveillance Act (FISA)
•
National Security Letters (NSL) – požadují pouze „business records“ (metadata)
•
FISA žádosti se zatím nikdy netýkaly podnikových zákazníků
Poprvé publikovány (jen v „tisících“) v únoru 2014 - výsledek společné žaloby Internet. firem proti vládě USA Kde je jakýkoli nedostatek, rozporujeme požadavky u soudu •
Např. žádosti které zakazují informovat zákazníka
•
Případ z dubna 2014 – emaily z Outlook.com fyz. osoby z datacentra v Irsku
Poslední verze přehledu:
http://www.microsoft.com/about/corporatecitizenship/en-us/reporting/fisa/
Publikovány podrobné Q&A 45
Náš závazek
Jednotná platforma pro moderní business
Microsoft Azure
• Orgány veřejné správy nemohou provozovat IS v cloudu. zprávy bezp. auditů certifikace ISO 27001
zpráv bezp. auditů
• Jak zajišťujete soulad se zák. 101/2000 Sb. – ochrana OÚ? Standardní smluvní doložky
Smlouvy o zpracování dat,
• Jak jsou moje data zabezpečena? shrnutí výsledků auditu Standard response to Cloud Control Matrix
[zelený text]
47
Partnerství v boji s kybernetickým zločinem
48
OPERATION
Conficker
OPERATION
b49 Waledac
OPERATION
b107 Rustock
OPERATION
b79 Kelihos
OPERATION
b71 Zeus
OPERATION
b70 Nitol
OPERATION
b58 Bamital
OPERATION
b54 Citadel
OPERATION
b68
ZeroAccess
OPERATION
OPERATION
OPERATION
Game over Zeus
Bladabindi & Jenxcus
Caphaw
b157 b106
b93
49
Je cloud více, nebo méně bezpečný proti tomu co dnes máte? 1 2 3 4 5
Technická a organizační bezpečnostní opatření v cloudu Pokročilé metody obrany díky koncentraci zdrojů Certifikace, audity, smluvní zajištění souladu Právní ochrana Vašich dat vůči třetím stranám Pozitivní zkušenost firemních zákazníků
50
www.microsoft.com/trusted cloud
www.microsoft.com/sir
www.microsoft.com/sdl
www.microsoft.com/twc
blogs.technet.com/security
51
Děkuji za pozornost! Zdeněk Jiříček
National Technology Officer
[email protected] © 2014 Microsoft Corporation. All rights reserved. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.
52